聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这些漏洞影响多个 Joomla 版本,已在 5.0.3和4.4.3 中修复。这些漏洞概述如下:
CVE-2024-21722:当用户的MFA方法被修改后,MFA管理特性并未正确终止已有的用户会话。
CVE-2024-21723:对URL的不当解析可导致开放重定向后果。
CVE-2024-21724:对媒体选择字段的输入验证不当可导致在多个扩展中的XSS漏洞。
CVE-2024-21725:邮件地址的不当逃逸可导致多个组件中的XSS漏洞。
CVE-2024-21726:在过滤器代码中的内容过滤不当可导致多个XSS漏洞。
Joomla 在安全公告中提到,CVE-2024-21725造成的风险最为严重,可利用性也较高。
CVE-2024-21726影响 Joomla的核心过滤器组件,严重性和可利用性均为中等,然而Sonar公司的漏洞研究员 Stefan Schiller 提醒称它可导致远程代码执行后果。
Shiller 提到,“攻击者可利用该漏洞,诱骗管理员点击恶意链接,从而获得远程代码执行权限。”XSS漏洞可导致攻击者将恶意脚本注入向其它用户发送的内容中,一般可导致通过受害者浏览器执行不安全的代码。
利用该漏洞要求用户交互。攻击者需要诱骗具有管理员权限的用户点击恶意链接。尽管用户交互降低了该漏洞的严重性,但攻击者可提出正确诱饵,他们可以发动所谓的“spray-and-pray”攻击,即更多受众被暴露给恶意链接,寄望于某些用户会点击这些链接。
Sonar 公司并未分享该漏洞的详情以及利用详情,从而可使更多的 Joomla 管理员能够应用可用的安全更新。Shiller 表示,“虽然我们目前并未披露技术详情,但我们希望强调立即采取措施缓解该风险的重要性。”他强调称所有 Joomla 用户均应升级至最新版本。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~